Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Vous pouvez configurer la solution de mot de passe d’administrateur local Windows (Windows LAPS) pour respecter les paramètres de stratégie de groupe Microsoft LAPS hérités, mais avec certaines restrictions et limitations. La fonctionnalité est appelée mode d’émulation ancien Microsoft LAPS. Vous pouvez utiliser le mode d’émulation si vous migrez un déploiement existant de Microsoft LAPS hérité vers Windows LAPS.
Comme Microsoft LAPS, le mode d’émulation prend en charge le stockage des mots de passe dans Windows Server Active Directory uniquement sous forme de texte clair. Pour renforcer la sécurité, nous vous recommandons de migrer vers Windows LAPS en mode natif afin de pouvoir tirer parti du chiffrement de mot de passe.
Installation et configuration
Lorsque vous configurez Windows LAPS en mode d’émulation Microsoft LAPS hérité, Windows LAPS suppose que votre environnement Windows Server Active Directory est configuré pour exécuter microsoft LAPS hérité. Pour plus d’informations sur l'ancienne configuration Microsoft LAPS, consultez l'ancienne documentation Microsoft LAPS.
Conditions requises et limitations :
Les exigences et limitations suivantes s’appliquent à la prise en charge du mode d’émulation Microsoft LAPS héritée :
Windows LAPS ne prend pas en charge l’ajout du schéma ancien Microsoft LAPS Windows Server Active Directory.
Vous devez installer Microsoft LAPS hérité sur un contrôleur de domaine ou un autre ordinateur de gestion pour étendre votre schéma serveur Windows Server Active Directory avec les éléments de schéma hérités de Microsoft LAPS. Utilisez l’applet
Update-AdmPwdADSchema
de commande pour étendre le schéma. L’applet de commande Windows LAPSUpdate-LapsADSchema
n’ajoute pas les éléments de schéma Microsoft LAPS hérités.Windows LAPS n’installe pas les anciens fichiers de définition de stratégie de groupe Microsoft LAPS.
Pour définir et administrer les politiques de groupe Microsoft LAPS héritées, vous devez installer Microsoft LAPS version héritée sur le contrôleur de domaine ou un autre client de gestion.
Windows LAPS ne prend pas en charge la gestion des listes de contrôle d’accès Microsoft LAPS Active Directory héritées.
Pour gérer les ACL héritées de Microsoft LAPS Windows Server Active Directory, vous devez installer Microsoft LAPS Hérité sur un contrôleur de domaine ou un autre client de gestion. Par exemple, pour utiliser l’applet
Set-AdmPwdComputerSelfPermissions
de commande.Aucune autre stratégie WINDOWS LAPS ne peut être appliquée à l’ordinateur.
Si une stratégie LAPS Windows est présente sur l’ordinateur, elle est toujours prioritaire, quelle que soit la façon dont elle a été appliquée (fournisseur de services de configuration, objet de stratégie de groupe ou modification de Registre brute). Si une stratégie LAPS Windows est présente, une stratégie Microsoft LAPS héritée est toujours ignorée. Pour plus d’informations, consultez les paramètres de stratégie WINDOWS LAPS.
Microsoft LAPS hérité ne doit pas être installé sur l’ordinateur.
Cette restriction évite un scénario dans lequel Windows LAPS et Microsoft LAPS hérité tentent simultanément de gérer le même compte d’administrateur local. Avoir deux entités gérer le même compte est un risque de sécurité et n’est pas pris en charge.
Pour la fonctionnalité d'émulation, Microsoft LAPS hérité est considéré comme installé si l'extension côté client de la stratégie de groupe Microsoft LAPS héritée est présente. Pour détecter l'extension, interrogez la valeur du registre
DllName
sous cette clé de registre :HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}
Lorsque la valeur DllName est présente et que la valeur fait référence à un fichier sur le disque (le fichier n’est pas chargé ou vérifié), microsoft LAPS hérité est considéré comme installé.
La console de gestion des utilisateurs et ordinateurs Windows Server Active Directory ne prend pas en charge la lecture ou l’écriture d’attributs de schéma Microsoft LAPS hérités.
Windows LAPS ignore toujours une stratégie Microsoft LAPS héritée lorsque Windows LAPS est configuré sur un contrôleur de domaine Windows Server Active Directory.
Toutes les options de stratégie Windows LAPS qui ne sont pas prises en charge dans une stratégie LAPS héritée sont par défaut désactivées ou configurées avec leurs paramètres par défaut.
Par exemple, lorsque vous exécutez Windows LAPS en mode d’émulation Microsoft LAPS hérité, vous ne pouvez pas configurer Windows LAPS pour effectuer des tâches telles que chiffrer des mots de passe ou enregistrer des mots de passe dans l’ID Microsoft Entra.
Si toutes ces contraintes sont satisfaites, Windows LAPS respecte les paramètres de stratégie de groupe Microsoft LAPS hérités. Le compte d'administrateur local géré spécifié est administré de la même manière que dans la configuration héritée de Microsoft LAPS.
Désactivation du mode d’émulation Microsoft LAPS hérité
** Windows LAPS a une différence importante à connaître lors de la planification d’un déploiement ou d’une migration depuis l’ancienne version de Microsoft LAPS. Windows LAPS est toujours présent et actif une fois qu’un appareil a été joint à Microsoft Entra ID ou Windows Server Active Directory. L’installation du CSE Microsoft LAPS hérité est souvent utilisée comme mécanisme de contrôle lorsque la stratégie Microsoft LAPS héritée est appliquée. En tant que fonctionnalité Windows intégrée, Windows LAPS commence à appliquer une stratégie Microsoft LAPS héritée dès qu’elle est appliquée à l’appareil. Cette mise en œuvre immédiate peut provoquer des perturbations, par exemple, si elle se produit pendant le processus d'installation et de configuration d'un nouveau système d'exploitation.
Pour éviter cette interruption potentielle, vous pouvez désactiver le mode d’émulation Microsoft LAPS hérité en créant une valeur de Registre REG_DWORD nommée BackupDirectory
sous la HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config
clé et en la définissant sur la valeur zéro (0). La définition de cette valeur empêche Windows LAPS d’entrer en mode d’émulation Microsoft LAPS hérité, que l’ancien CSE Microsoft LAPS soit installé ou non. Cette valeur peut être utilisée temporairement ou définitivement. Lorsqu’une nouvelle stratégie LAPS Windows est configurée, cette nouvelle stratégie est prioritaire. Pour plus d’informations sur l’ordre de priorité des stratégies LAPS Windows, consultez Configurer les paramètres de stratégie WINDOWS LAPS.
Support administratif limité
L’applet Get-LapsADPassword
de commande prend en charge la récupération de l’attribut de mot de passe Microsoft LAPS hérité (ms-Mcs-AdmPwd
). Les champs Account
et PasswordUpdateTime
dans la sortie résultante sont toujours vides. For example:
PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText
ComputerName : LAPSAD2
DistinguishedName : CN=LAPSAD2,OU=LapsTestOU,DC=laps,DC=com
Account :
Password : <masked>
PasswordUpdateTime :
ExpirationTimestamp : 7/31/2022 12:43:10 PM
Source : LegacyLapsCleartextPassword
DecryptionStatus : NotApplicable
AuthorizedDecryptor : NotApplicable
L’applet Set-LapsADPasswordExpirationTime
de commande ne prend pas en charge l’expiration ou la modification de l’attribut d’expiration de mot de passe Microsoft LAPS hérité (ms-Mcs-AdmPwdExpirationTime
).
La page de propriétés Windows LAPS dans la console de gestion Utilisateurs et ordinateurs Windows Server Active Directory ne prend pas en charge l’affichage ou l’administration des attributs Microsoft LAPS hérités.
Logging
Lorsque Windows LAPS s’exécute en mode d’émulation Microsoft LAPS hérité, un événement 10023 est consigné pour détailler la configuration de la stratégie en cours :
Dans le cas contraire, les mêmes événements enregistrés par Windows LAPS lorsqu’il ne s’exécute pas en mode d’émulation Microsoft LAPS hérité sont également enregistrés lorsqu’il s’exécute en mode d’émulation Microsoft LAPS hérité.
See also
Cet article ne décrit pas en détail la gestion d’autres aspects de l’ancienne version de Microsoft LAPS. Pour plus d’informations, consultez la documentation Microsoft LAPS héritée sur la page de téléchargement :